可牛公布360安全卫士恶意拦截证据

卫星看卫视

可牛公布360安全卫士恶意拦截证据
; a+ [' S# P0 S, e) W! p+ S. e( V附：360拦截可牛的文件证据：
360appd.rar (82.47 KB, 下载次数: 0)

2009-1-6 12:06 上传

点击文件名下载附件
网友提供的360拦截可牛杀毒的过程（视频）：
$ A( w, L$ `2 G! `1 Yhttp://video.sina.com.cn/v/b/33290126-1644915981.html
5月25日晚21:30，经历诸多波折的“可牛免费杀毒”终于上线了，正当可牛公司员工欢欣雀跃之时，万万没有想到的事情发生了。软件发布还不到5分钟，就有网友向可牛公司反馈，在安装可牛免费杀毒时遭遇了360安全卫士的拦截，并提供了一张拦截画面。可牛公司经过技术分析，发现了360安全卫士恶意拦截可牛免费杀毒软件的确凿证据，现将360安全卫士拦截可牛免费杀毒的证据进行公布，包括2个文件证据和1份技术分析说明。
360实现竞争对手拦截的过程分析
  T  Y. b$ Z. b% x' O# A一、360拦截名单大曝光 可牛金山傲游一个都不少
分析发现，360将竞争对手的文件信息保存在C:\ 360safe\ipc\目录下（C为系统盘符）的360appd.dat文件中，该文件采用了异或加密手段，以防止数据被直接发现。
使用010 Editor或者winhex等16进制编辑工具，可以对360加密数据进行解密，由于360只采用了异或手段，界面过程还是很简单的。图1就是包含了可牛免费杀毒特征的360appd.dat文件截图。
. A9 ]2 p5 X. |. Z7 d

, [: T6 \3 V4 u" |7 L
5 ]8 f( n* P, Z

(72.21 KB)
昨天 13:11
图1：包含了可牛免费杀毒特征的360appd.dat文件截图
由图1可以清楚的看到，其中包含了“keniu”字样，就是通过这个特征，360实现对可牛免费杀毒软件的基本判定。
为了防止360赶在这篇文章发布之前毁灭罪证，在可牛免费杀毒论坛（）中提供了两个360appd.dat文件，“360appd_old.dat” 和“360appd.dat”。生成时间分别是2010年5月23日和5月24日，通过分析，可以看到在5月23日的数据中还没有可牛杀毒的数据，而5月24发布的数据中已经增加了可牛杀毒的数据。可见360是赶在可牛杀毒发布前，就制作好了拦截数据库，以方便在可牛杀毒发布后，第一时间就开始拦截。
更神奇的是，在这个竞争对手名单中，还远远不止可牛一家，其中还有金山网盾和傲游浏览器（Maxthon）！

9 }) e# {5 J1 C" ?- {7 ~

4 E) ~9 o  L9 A( }

卫星看卫视

(101.83 KB)
昨天 13:11
: E( q! ^% |, [1 |0 Q& G+ y图2：包含了金山网盾特征的360appd.dat文件截图
8 F' m0 Y. b/ p$ f8 l* a
, ~0 {5 Q( U6 O. u% o2 [$ `
1 R" j2 M( k+ i* O- U# h: d7 L+ m
# e5 P8 @) {' ]" d  V5 I2 ?. T
( @  ^8 ~1 g  v( v
2 h6 y) Q& z9 m, n# T2 m (48.44 KB)
3 k: J2 e' G3 X% E7 u) l昨天 13:12
图3：包含了“Maxthon”特征的360appd.dat文件截图
1 @+ i' j* e7 j$ {& f, U7 d请看这两个文件头信息中的D063部分，根据二进制的算法，我们可以知道这实际为一个数字，而数值为360D，这就是360的数据文件的校验头，从而可以确认这两个文件为360所生成。
3 x- {. e3 @3 Y4 l) l

0 A3 ]' {0 L; @' i; ~( l' J

: I) }, g+ {$ r% |9 P
4 d8 m. j+ q% B- {

卫星看卫视

(41.69 KB)
( w# g+ Y& ~# K昨天 13:12
图4：“360appd_old.dat”文件头中包含360的数据文件头信息
; P) k9 q4 u! Y/ Y. Z


: a8 U: X% h- c8 S, s9 A

(37.46 KB)
昨天 13:12
图5：“360appd.dat”文件头中包含360的数据文件头信息
7 B) ^: p" ?. D$ D9 R7 I. @+ {! v  U我们再来看一下这两个文件的生成时间。“360appd_old.dat”为5月23日生成，无可牛杀毒特征；“360appd.dat”为5月24日生成，包含可牛杀毒特征。我们希望360的这一次升级，不是仅仅为了拦截可牛杀毒。
5 P' ?# ]. E9 m, h" t; p% K& a
+ X' ?  r8 @6 f% v
7 z4 G! q! O; J" ~( k

% q2 R; o9 Z# c2 V: K5 b+ }
! _. _1 z; x2 o

卫星看卫视

(32.4 KB)
$ O7 q% g3 R0 F7 c! G昨天 13:12
  ]- ^6 P( c: z6 |7 F+ V' u图6：“360appd_old.dat”为5月23日生成

3 C& W; a& @5 q! _; G
6 d$ o' a' |6 t
3 g& n* i+ @; D9 |
, [" a& k8 ]. L" e3 k; d, N0 A5 _
(34.67 KB)
" m- C$ l/ \* E  q8 U* s昨天 13:12
- L" Q6 A) l5 n# f图7：“360appd.dat”为5月24日生成
( C# I% H( Q& R/ s分析发现，在运行任意一个程序时，360都会进行拦截，如果是竞争对手程序，就对该程序运行进行拦截提示，如果不是竞争对手程序，再去判断是否为木马病毒。该逻辑实现在appd.dll中，无需多言，请大家直接看图：
+ {5 T# ~# f1 A" \# L4 d# }& W
; p8 [! O, T- P2 m


' B- y/ c" O! }) T. [7 N; U1 f
4 P! U# a% P7 D" l! v  F- \

卫星看卫视

(54.45 KB)
昨天 13:12
图8：360在判断运行的程序是否为可牛免费杀毒




0 E/ x# i* B6 \! R7 c0 t
- W! ], W+ @! B! z( m (24.43 KB)
* w) N! a9 b. i; m昨天 13:12
6 z- Y# g8 B1 T: \; {图9：360成功提取可牛杀毒程序特征
8 w+ M- L( p  R. F4 H: J9 |在上面两图中，我们可以清楚的看到可牛杀毒运行时，360进行了拦截，并且成功匹配了360appd.dat中的可牛杀毒的特征。匹配后360开始提取可牛杀毒程序特征，并提交到360云服务器来判断是否需要拦截可牛杀毒。

4 v; w5 D* e, v4 X! Z* J
7 t; N# M$ \$ t' a+ N  Y3 N7 ^3 ~
* Q# h" B8 ^2 Z

: U2 X$ y: N/ k& ?+ m

卫星看卫视

(181.48 KB)
# p( j+ b$ X4 V; m  d昨天 13:12
图10:360安全卫士拦截可牛免费杀毒的信息框
二、云计算变云暗算 想拦谁就拦谁
. r9 T0 j. B( W7 I/ W4 w+ z我们来看看360云服务器到底下达了什么命令，这是360拦截某款软件时云服务器返回的数据内容：

+ w/ I# L! z) T! Q7 m- d- s
! k# V8 Q, b0 x2 l8 l/ P  [' D
4 M7 B5 j) Q" r; H, ^3 d
/ H9 `3 |1 g: R$ S1 v* {% D
(61.79 KB)
昨天 13:12
图11：360拦截某款软件时云服务器返回的数据内容
; z+ S, [2 b6 v5 I: s- r由此可见360可以在云服务器上随意下达拦截某款软件的命令。360拦截原理：360安全卫士只负责验证拦截信息，然后把拦截信息发给360的服务云端。拦截指令是由360的云端服务器来发出。
+ D/ m4 g! h% a; c& d这不是360对第三方软件第一次拦截，但可牛公司希望衷心的希望这是最后一次！用户需要有自由选择软件的权利，免费的核心是自由，而不是强迫！行业需要的是竞争，而不是垄断！360作为行业领导者，应该推动行业发展欢迎竞争，而不是随意拦截任意打压！

meihou

拦截是正常的，你对禁区进行访问或写操作，那它要是对你视而不见，那还能叫安全卫士吗？

fjr168

这还叫正常啊？应该拦截得拦截不了，不应该拦截的却给拦截的。大家都这么干，那谁还敢安装杀毒软件啊

小卡

谁都拦截或是乱拦截，那就叫耍流氓啊

美堂

有图有真相，这样子有2种可能，1。360没技术，2。360恶意攻击对手

怪我多嘴

360是3721化的结果啊，反正我是不用它了。

庄昌林

我还是卸了360再说啊，谢谢分享了，这样子看，啥都拦截啊

xiayonghua

哪个杀毒软件能和别的杀毒软件共在一台机器使用？

孟浩

不能共用弑毒他们是死对头

w-q-g

这不叫垄断吗。反正我现在也不用了。